Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Uma fabricante de cabines fotográficas está expondo fotos e vídeos de seus clientes online devido a uma falha simples em seu site onde os arquivos são armazenados, de acordo com um pesquisador de segurança.
O especialista, que usa o pseudônimo Zeacer, alertou sobre o problema de segurança no final de novembro, após relatar a vulnerabilidade em outubro à Hama Film, a empresa responsável pelas cabines fotográficas que tem franquias na Austrália, Emirados Árabes Unidos e Estados Unidos, mas não obteve resposta.
Zeacer compartilhou uma amostra de fotos obtidas dos servidores da Hama Film, que mostravam grupos de pessoas, muitas delas jovens, posando nas cabines. As cabines da Hama Film não apenas imprimem as fotos como uma cabine tradicional, mas também fazem o upload das imagens dos clientes para os servidores da empresa.
A Vibecast, proprietária da Hama Film, ainda não respondeu aos alertas sobre os problemas. A Vibecast também não respondeu a vários pedidos de comentário, nem o cofundador da empresa, Joel Park, respondeu a uma mensagem enviada via LinkedIn.
Até sexta-feira, o pesquisador afirmou que a empresa ainda não resolveu completamente a falha de segurança e continua expondo os dados dos clientes. Por esse motivo, detalhes específicos da vulnerabilidade estão sendo omitidos da publicação.
Quando Zeacer descobriu essa falha pela primeira vez, ele observou que parecia que as fotos eram excluídas dos servidores da fabricante a cada duas ou três semanas.
Agora, ele disse, as fotos armazenadas nos servidores parecem ser excluídas após 24 horas, o que limita o número de imagens expostas em um determinado momento. No entanto, um invasor ainda poderia explorar a vulnerabilidade diariamente e baixar o conteúdo de cada foto e vídeo no servidor.
Antes desta semana, Zeacer afirmou que, em um determinado momento, ele viu mais de 1.000 fotos online das cabines da Hama Film em Melbourne.
Este incidente é o mais recente exemplo de uma empresa que, pelo menos por um tempo, não estava implementando certas práticas básicas e amplamente aceitas de segurança, como limitação de taxa. No mês passado, foi relatado que a gigante contratada do governo Tyler Technologies não estava limitando a taxa de seus sites usados para permitir que os tribunais gerenciassem as informações pessoais de seus jurados. Isso significava que qualquer pessoa poderia invadir o perfil de qualquer jurado executando um script de computador capaz de adivinhar em massa sua data de nascimento e seu identificador numérico fácil de adivinhar.
